CVE-2025-14847
Mis à jour :
Exploitation de vulnérabilité dans MongoDB : Fuite de données non authentifiée
Une faille de sécurité critique, identifiée comme CVE-2025-14847, affecte le serveur MongoDB. Elle résulte d’une mauvaise gestion des incohérences de longueur dans les en-têtes du protocole compressé par Zlib. Ces désaccords peuvent permettre à un client non authentifié de lire la mémoire non initialisée du tas (heap). En envoyant une requête spécialement conçue, un attaquant peut inciter le serveur à renvoyer des portions de données issues de sa mémoire interne.
Cette vulnérabilité concerne un large éventail de versions de MongoDB, de la version 3.6 jusqu’aux versions non corrigées 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32 et 4.4.30. Un attaquant n’a donc pas besoin d’identifiants mais seulement d’un accès réseau au port de la base de données pour potentiellement dérober des informations sensibles résidant en RAM.
Points Clés :
- Nature de la vulnérabilité : Lecture de mémoire non initialisée du tas (heap) par un client non authentifié.
- Cause : Incohérences dans les champs de longueur des en-têtes du protocole compressé par Zlib.
- Impact : Potentielle fuite de données sensibles.
- Prérequis pour l’exploitation : Accès réseau au port MongoDB.
- Niveau de risque (CVSS 4.0) : 8.7 (Score de base).
- Niveau de risque (CVSS 3.1) : 7.5 (Score de base).
Vulnérabilités :
- CVE-2025-14847
Versions affectées :
- MongoDB Server v7.0 avant 7.0.28
- MongoDB Server v8.0 avant 8.0.17
- MongoDB Server v8.2 avant 8.2.3
- MongoDB Server v6.0 avant 6.0.27
- MongoDB Server v5.0 avant 5.0.32
- MongoDB Server v4.4 avant 4.4.30
- MongoDB Server v4.2 (versions 4.2.0 et supérieures)
- MongoDB Server v4.0 (versions 4.0.0 et supérieures)
- MongoDB Server v3.6 (versions 3.6.0 et supérieures)
Recommandations :
- Appliquer les mises à jour de sécurité fournies par MongoDB pour les versions corrigées : 7.0.28, 8.0.17, 8.2.3, 6.0.27, 5.0.32, et 4.4.30, ainsi que pour les versions antérieures applicables. Il est fortement recommandé de mettre à jour vers les dernières versions stables disponibles pour bénéficier des correctifs.